Na última segunda-feira, 11, o Docker lançou uma atualização para consertar uma vulnerabilidade nos privilégios de escalonamento (CVE-2019-5736) em runC, uma especificação runtime do Open Container Initiative (OCI) usada no Docker Engine.

Essa vulnerabilidade faz com que seja possível que um malware que tenha criado uma imagem de contêiner especial ganhe privilégios de administrador no host. A equipe de engenharia do Docker trabalhou com os mantenedores do runC no OCI para emitir um patch para essa vulnerabilidade.

A equipe recomenda, de imediado, que sejam aplicadas as atualizações para evitar quaisquer ameaças à segurança. Para o Docker-Engine Comunnity, isso significa atualizar para 18.09.2 ou 18.06.2. Para o Docker Engine-Enterprise, significa atualizar para 18.09.2, 18.03.1-ee-6, ou 17.06.2-ee-19. Leia as notas de lançamento antes de aplicar as atualizações – há instruções específicas para os sistemas operacionais Ubuntu e RHEL.

Resumo das versões do Docker Engine que abordam a vulnerabilidade:

Para proteger melhor as imagens de container executadas pelo Docker, confira algumas recomendações adicionais e melhores práticas:

Use imagens oficiais Docker

As imagens oficiais são um conjunto de repositórios armazenados no Docker Hub, que são feitas para:

• Fornecer repositórios base essenciais para sistemas operacionais (por exemplo, Ubuntu e Centos), que servem como ponto inicial para a maior parte dos usuários
• Fornecer soluções para runtimes de linguagens de programação populares, armazenamento de dados e outros serviços
• Exemplificar melhores práticas do Dockerfile e fornecer documentação clara para servir como referência para outros autores Dockerfile. Especificamente nesta vulnerabilidade, contêineres em execução por usuários não privilegiados, como destacado na seção USER practices dentro do Dockerfile, podem mitigar esse problema
• Garantir que as atualizações de segurança são aplicadas em tempo hábil. Atualizações de segurança devem ser aplicadas imediatamente, portanto os usuários devem fazer um rebuild e publicar suas imagens. Isso é particularmente importante, já que muitas imagens oficiais são uma das mais populares no Docker Hub
• O Docker possui um time dedicado, que é responsável por revisar e publicar todo o conteúdo no Official Images. Esse time trabalha em colaboração com mantenedores de software, especialistas em segurança e uma comunidade Docker mais ampla para garantir a segurança dessas imagens.

Use containers Docker certificados

A plataforma de contêineres Docker Enterprise permite que você garanta a integridade de suas imagens. Segurança não é uma atividade estática – é, na verdade, um processo contínuo que acompanha a aplicação através de diferentes estágios do pipeline.

Para impedir que sistemas sejam comprometidos, o Docker Enterprise fornece uma segurança integrada através da supply chain. Usuários do Docker Enterprise que seguem as melhores práticas de segurança e executam códigos confiáveis, baseados nas imagens certificadas Docker, podem ter certeza de que a imagem de seus softwares:

• Foram testados e possuem suporte na plataforma de contêiner Docker Enterprise por autores verificados
• Aderem às melhores práticas do Docker contêiner para construir dockerfiles/imagens
• Passam por um conjunto de testes de API funcional
• Completam uma avaliação de varredura de vulnerabilidades

A Certificação Docker permite que os usuários e empresas tenham uma maneira confiável de aplicar mais tecnologia em contêineres com suporte tanto do Docker, quanto do autor. Clientes podem rapidamente identificar conteúdos certificados com distintivos e ter a certeza que eles foram criados com as melhores práticas, testados para operar de forma fluída no Docker Enterprise.

Aproveite os recursos do Docker Enterprise para proteção adicional

O Docker Enterprise fornece camadas adicionais de proteção em toda supply chain através da validação de conteúdo e segurança de aplicações runtime. Isso inclui um controle de acesso (RBAC) para acesso privilegiados flexíveis e granulares por vários times para determinar qual organização pode rodar um contêiner. Administradores também podem definir uma diretiva restringindo a capacidade de qualquer usuário executar um contêiner privilegiado em um cluster.

Além disso, o Docker Content Trust disponibiliza um acesso criptografado digital para confirmar a procedência e autenticidade – na verdade, fornece à sua equipe de operações detalhes sobre o autor de um aplicativo e confirma que ele não foi adulterado ou modificado de alguma forma.

Com a imposição de políticas em runtime, o Docker Enterprise garante que somente imagens de contêiner assinadas por equipes confiáveis possam ser executadas em um cluster.

Para mais informações:

• Descubra como dar um upgrade no Docker Engine – Enterprise
• Aprenda a dar um upgrade no Docker Engine – Community
• Mais informações sobre o Docker Enterprise
• Saiba mais sobre o Docker Secutiry